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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewahlte 
Knoten auf einem Netz 

© Ein Netz wird geschaffen, das ein Einbruchschutzsy- 
stem aufweist, das ein Netzmedium (200B), einen Verwal- 
tungsknoten, der mit dem Netzmedium verbunden ist 
und eine Einbruchpraventationssystemverwaltungs-An- 
wendung betreibt, und eine Mehrzahl von Knoten, die mit 
dem Netzmedium verbunden sind und eine Instanz einer 
Einbruchschutzsystemanwendung betreiben, aufweist, 
wobei zumindest einer der Knoten eine Identifizierung 
aufweist, die demselben zugeordnet ist, basierend auf ei- 
ner logischen Zuordnung, die einen oder mehrere der 
Mehrzahl von Knoten gruppiert, wobei jeder Knoten die 
Identifizierung teilt, die allgemein fur zumindest eine 
Netzausbeutung anfallig ist. 
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Beschreibung 

[0001] Diese Erfindung bezieht sich auf Netztechnologien 
und spezieller auf eine Technik zum Verteilen von Befehls- 
und Sicherheitsaktualisierungen an ausgewahlte Knolen auf 5 
einem Netz, 

[0002] Netzausbeutungs-Angriffswerkzeuge, wie DoS- 
Angriffsdienstprogramme (DoS = denial-of-service = 
Dienstvenveigerung) werden technisch immer ausgereifter, 
und aufgrund der sich entwickelnden Technologien sind sie 10 
einfach auszufiihren. Technisch relativ ungebildete Angrei- 
fer konnen Compulcrsystembeeintrachtigungen arrangieren 
oder in dieselben involviert sein, die auf eine oder mehrere 
ins Ziel gefaBte Einrichtungen gerichtet sind. Ein Netzsy- 
stemangriff (der hierin auch als Eindringen bezeichnet wird) 15 
ist eine unautorisierte oder boswillige Verwendung eines 
Computers oder eines Computernetzes und kann Hunderte 
oder Tausende von ungeschiitzten oder anderweitig beein- 
trachtigte Internetknoten zusammen in einem koordinierten 
Angriff auf ein oder mehrere ausgewahlte Ziele umfassen. 20 
[0003] Netzangriffswerkzeuge basierend auf dem Client- 
/Servermodell sind zu einem bevorzugten Mechanismus 
zum Ausfuhren von Netzangriffen auf ins Ziel gefafite Netze 
oder Vorrichtungen geworden. Hochkapazitatsmaschinen in 
Netzen, die iiber eine unzureichende Sicherheit verfugen, 25 
werden von Angreifern gerne genutzt, um verteilte Angriffe 
von denselbcn zu starten. Universitatsserver weisen typi- 
scherweise eine hohe Konnektivitat und Kapazitat, jedoch 
eine relativ mittelmaBige Sicherheit auf. Solche Netze ha- 
ben auch haufig unerfahrene oder uberarbeite NeLzadmini- 30 
stratorcn, die die Netze fur die Involvierung in Netzangriffe 
sogar noch anfalliger machen. 

[0004] Netzausbeutungs-Angriffswerkzeuge, die feindli- 
chc Angriffsanwendungen wie DoS-Dienstprogramme auf- 
weisen, die zum Ubertragen von Daten iiber ein Netzme- 35 
dium verantwortlich sind, weisen haufig eine unterscheid- 
bare "Signatur" oder ein erkennbares Muster innerhalb der 
ubertragenen Daten auf. Die Signatur kann eine erkennbare 
Sequenz von speziellen Paketen und/oder erkennbaren Da- 
ten aufweisen, die innerhalb von einem oder mehreren Pake- 40 
ten enthalten sind. Eine Signaturanalyse wird haufig durch 
ein Netz-IPS (TPS = intrusion prevention system = Ein- 
bruchpraventionssystem) ausgefiihrt und kann als ein Mu- 
sterubereinstimmungsalgoritlimus implementiert sein und 
kann andere Signaturerkennungsfahigkeiten sowie Anwen- 45 
dungsuberwachungs-Dienstprogramme einer hoheren 
Ebene aufweisen. Ein einfacher Signaturanalysealgorithmus 
kann nach einer speziellen Zeichenfolge suchen, die als ei- 
ner fcindlichcn Anordnung zugeordnet identifizicrt worden 
ist. Sobald die Zeichenfolge innerhalb eines Netzdaten- 50 
stroms identifiziert worden ist, konnen das eine oder die 
mehreren Pakele, die die Zeichenfolge tragen, als "feind- 
lich" oder ausbeutend identifiziert werden, und das IPS kann 
dann eine beliebige oder mehrere von einer Anzahl von 
MaBnahmen, wie Registrieren der Identifizierung des Rah- 55 
mens, Ausfuhren einer GegenmaBnahme oder Ausfiihren ei- 
ner weiteren Datenarchivierungs- oder SchutzmaBnalime, 
ausfuhren. 

[0005] Die IPS umfassen eine Technologie, die versucht, 
Ausbeutungen gegenubcr einem Computersystem oderNclz 60 
von Computersystemen zu identifizieren. Zahlreiche Typen 
von IPS existieren und sind jeweils allgemein als entweder 
ein nelzbasiertes, hostbasierles oder knotenbasiertes IPS 
klassifiziert. 

[0006] Die netzbasierten IPS-Vorrichtungen sind typi- 65 
scherweise dedizierte (bzw. zweckgebundene) Systeme, die 
an strategischen Stellen auf einem Netz plaziert sind, um 
Datenpakete zu untersuchen, um zu bestimmen, ob sie mit 
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bekannten Angriffssignaturen iibereinstimmen. Um Pakete 
mit bekannten Angriffssignaturen zu vergleichen, nutzen die 
netzbasierten IPS-Vorrichtungen einen Mechanismus, der 
als eine passive Protokollanalyse bezeichnet wird, um den 
gesamten Verkehr auf einem Netz unauffallig zu iibcrwa- 
chen oder zu durchschnuffeln und um Ereignisse auf einer 
unteren Ebene, die von einem rohen Netzverkehr unter- 
schieden werden konnen, zu erfassen. Die Netzausbeutun- 
gen konnen durch Identifizieren von Mustem oder andere 
beobachtbare Charakteristika von Netzrahmen erfaBt wer- 
den. Die netzbasierten IPS-Vorrichtungen untersuchen den 
Inhalt von Datenpaketen durch syntaktisches Analysicrcn 
von Netzrahmen und Paketen und Analysieren individueller 
Pakete basierend auf den Protokollen, die auf dem Netz ver- 
wendet werden. Eine netzbasierte IPS-Vorrichtung iiber- 
wacht auf unauffallige Weise den Netzverkehr, d. h. andere 
Netzknoten konnen sich des Vorhandenseins der netzbasier- 
ten IPS-Vorrichtung nicht bewuBt sein und tun dies auch 
haufig nicht. Eine passive Uberwachung wird normaler- 
weise durch eine netzbasierte IPS-Vorrichtung durch Imple- 
mentieren eines "Wahllos-Modus"-Zugriffs von einer Netz- 
schnittstellenvorrichtung ausgefiihrt. Eine Netzschnittstel- 
lenvorrichtung, die in dem wahllosen Modus arbeitet, ko- 
piert Pakete direkt von dem Netzmedium, wie einem Ko- 
axialkabel, einem lOObaseT- oder anderem Ubertragungs- 
medium, ungeachtet des Bestimmungsknotens, an den das 
Paket adressicrt ist. Folglich ist kein cinfaches Verfahrcn 
zum Ubertragen von Daten iiber das Netziibertragungsme- 
dium vorhanden, ohne daB die netzbasierte IPS-Vorrichtung 
dasselbe untersucht, und so kann die netzbasierte IPS-Vor- 
richtung den gesamten Netzverkehr, dem sic ausgesotzt ist, 
erfassen und analysieren. Nach der Identifizierung eines auf- 
falligen Pakets, d. h. eines Pakets, das Attribute aufweist, 
die einer bekannten Angriffssignatur entsprechen, die auf 
ein Erscheinen durch die netzbasierte IPS-Vorrichtung iiber- 
wacht wird, kann ein Alarm dadurch erzeugt werden und an 
ein Verwaltungsmodul des IPS ubertragen werden, so daB 
ein Nctzcxperte SichcrheitsmaBnahmcn umsetzen kann. Die 
netzbasierten IPS-Vorrichtungen haben den zusatzlichen 
Vorteil, daB sie in Echtzeit arbeiten und so einen Angriff, 
wiihrend dieser geschieht, erfassen konnen. AuBerdem ist 
eine netzbasierte IPS-Vorrichtung ideal zur Implementie- 
rung einer statusbasierten IPS-SicherheitsmaBnahme, die 
eine Anhaufung und Speicherung von identifizierten auffal- 
ligen Paketen von Angriffen erfordert, die nicht "alomar" 
identifiziert werden konnen, d. h. durch ein einzelnes Netz- 
paket. Zum Beispiel sind TCP- (TCP = transmission control 
protocol = Ubertragungssteuerungsprotokoll) SYN- (SYN = 
synchronization = Synchronisierung) Flutaltackcn nicht 
durch ein einzelnes TCP-SYN-Paket identifizierbar, son- 
dern werden allgemein vielmehr durch ein Anhaufen eines 
Ziihlwerls von TCP-SYN-Paketen identifiziert, die eine vor- 
definierte Schwelle fiber einen definicrten Zcitraum iibcr- 
sclireiten. Eine netzbasierte IPS-Vorrichtung ist daher eine 
ideale Plattform zum Implementieren einer statusbasierten 
Signaturerfassung, weil die netzbasierte IPS-Vorrichtung 
alle diese TCP-SYN-Pakete sammeln kann, die sich fiber 
das lokale Netzmedium bewegen, und kann daher die Hau- 
figkeit von solchen Ereignissen ordnungsgemaB archivieren 
und analysicrcn. 

[0007] Die netzbasierten IPS- Vorrichtungen konnen je- 
doch haufig eine groBe Anzahl von "falschen Positiven", 
d. h. unrichtigen Diagnosen eines Angriffs, erzeugen. Fal- 
sche Positivdiagnosen durch netzbasierte IPS-Vorrichtun- 
gen ergeben sich teilweise durch Fehler, die wiihrend einer 
passiven Analyse des Netzverkehrs erzeugt werden, die 
durch das IPS erfaBt werden, die in einer beliebigen Anzahl 
von netzunlerstiitzten Protokollen verschlusselt und forma- 
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tiert werden konnen. Ein inhaltsmaBiges Abtasten durch ein 
netzbasierles IPS ist auf einer verschlusselten Verkniipfung 
nicht moglich, obwohl die Signaturanalyse basierend auf 
Protokollanfangsblocken ungeachtet dessen ausgefuhrt wer- 
den kann, ob die Verkniipfung verschliisselL ist oder nicht. 5 
Zusatzlich sind die netzbasierten IPS-Vorrichtungen bei 
Hochgeschwindigkeitsnetzen haufig uneffektiv. Da Hochge- 
schwindigkeitsnetze immer iiblicher werden, werden die 
software-basierten, netzbasierten IPS-Vorrichtungen, die 
versuchen, alle Pakete auf einer Verknupfung zu durch- 10 
schniiffeln, immer weniger zuverlassig. Am bedeutsamsten 
ist die Tatsache, daB die netzbasierten IPS-Vorrichtungen 
keine Angriffe verhindern konnen, es sei denn, sie sind in 
ein Brandmauerschutzsystem integriert und werden in Ver- 
bindung mit demselben betrieben. 15 
[0008] Hostbasierte IPS erfassen Einbriiche durch Uber- 
wachen von Anwendungsschichtdaten. Hostbasierte IPS 
verwenden intelligente Agenten, um Computerpriifproto- 
kolle auf auffallige Aktivitaten zu iiberpriifen und jede Ver- 
anderung in den Protokollen nut einer Bibliothek von An- 20 
griffssignaturen oder Benutzerprofilen zu vergleichen. Die 
hostbasierten IPS konnen auch Schliisselsystemdateien und 
ausfiihrbare Dateien auf unerwartete Veranderungen hin ab- 
rufen. Die hostbasierten IPS werden als solche bezeichnet, 
weil sich die IPS-Dienstprogramme auf dem System befin- 25 
den, dem sie zugeordnet sind, um dasselbe zu schiitzen. Die 
hostbasierten IPS verwenden typischerweise Uberwa- 
chungstechniken auf Anwendungsebene, die Anwendungs- 
protokolle untersuchen, die durch verschiedene Anwendun- 
gen unterhallen werden. Zum Beispiel kann ein hostbasier- 30 
tcs IPS eine Datenbankmaschine, die gescheiterte Zugriffs- 
versuche und/oder Modifizierungen auf Systemkonfigura- 
tionen registriert, iiberwachen. Alarme konnen an einen Ver- 
waltungslcnoten nach der Idcntifizierung von Ercignissen 
geliefert werden, die von dem Datenbankprotokoll gelesen 35 
wurden, die als auffallig identifiziert worden sind. Hostba- 
sierte IPS erzeugen allgemein selir wenig falsche Positive. 
Hostbasierte IPS, wie Protokollwachter, sind jedoch allge- 
mein auf ein Identifizieren von Einbriichen besclirankt, die 
bereits stattgefunden haben, und sind auch auf Ereignisse 40 
besclirankt, die sich auf dem einzelnen Host ereignen. Weil 
sich die Protokollwachter auf ein Uberwachen von Anwen- 
dungsprotokollen stutzen, werden Schaden, die aus dem re- 
gistrierten Angriff resultieren, allgemein bis zu dem Zeit- 
punkt, als der Angriff durch das IPS identifiziert worden ist, 45 
bereits stattgefunden haben. Einige hostbasierte IPS konnen 
einbruchspraventiveFunktionen, wie "Einhaken" (Hooking) 
oder "Auffangen" (Intercepting) von Betriebssystems-An- 
wcndungsprogranimicrschnittstellen, ausfiibren, um die 
Ausfuhrung von praventiven Operationen durch ein IPS ba- 50 
sierend auf einer Anwendungsschichtaktivilat, die ein- 
bruchsbezogen zu sein scheinl, ausfiihren. Weil ein Ein- 
bruch, der in dicser Weise crfaBt wird, bereits ein belicbiges 
IPS auf unterer Ebene umgangen hat, stellt ein hostbasiertes 
IPS eine letzte Schicht der Verteidigung gegen eine Netz- 55 
ausbeutung dar. Die hostbasierten IPS sind jedoch zum Er- 
fassen von Netzereignissen auf einer unteren Ebene, wie 
z. B. Protokollereignisse, nicht niitzlich. 
[0009] Die knotenbasierten IPS wenden die Einbruchser- 
fassung und/oder Pravenlionstechnologie auf dem System 60 
an, das geschiitzt wird. Ein Beispiel von knotenbasierten 
IPS-Technologien ist die Reihen-Einbruchserfassung (In- 
line-Einbruchserfassung). Ein knotenbasiertes EPS kann an 
jedem Knoten des Netzes, der geschiitzt werden soli, imple- 
mentiert sein. Die Reihen-IPS (InMne-IPS) weisen Ein- 65 
bruchserfassungstechnologien auf, die in dem Protokollsta- 
pel des geschiitzten Netzknotens eingebettet sind. Weil das 
Reihen-IPS innerhalb des Protokollstapels eingebettet ist, 



bewegen sich sowohl eingehende als auch ausgehende Da- 
ten durch das Reihen-IPS und sind einer Uberwachung 
durch dasselbe unterworfen. Ein Reihen-IPS uberwindet 
viele der Schwachen, die netzbasierten Losungen eigen 
sind. Wie vorstehend erwahnt ist, sind die netzbasierten Lo- 
sungen allgemein ineffektiv beim Uberwachen von Hochge- 
schwindigkeitsnetzen aufgrund der Tatsache, daB die netz- 
basierten Losungen versuchen, den gesamten Netzverkehr 
auf einer gegebenen Verknupfung zu uberwachen. Die Rei- 
hen-Einbruchspraventionssysteme uberwachen jedoch nur 
den Verkehr, der an den Kiioten gerichtet ist, auf dem das 
Reihen-IPS installiert ist. So konnen die Angriffspakcte ein 
Reihen-IPS auf einer ins Ziel gefafiten Maschine nicht phy- 
sisch umgehen, weil sich das Paket durch den Protokollsta- 
pel der ins Ziel gefaBten Vorrichtung bewegen muB. Eine 
behebige Umgebung eines Reihen-IPS durch ein andcres 
Paket muB vollstiindig durch "logisches" Umgehen des IPS 
erfolgen, d. h. ein Angriffspaket, das ein Reihen-IPS ver- 
meidet, muB dies in einer Weise tun, die bewirkt, daB das 
Reihen-IPS das Angriffspaket nicht oder nicht ordnungsge- 
maB identifiziert. Zusatzlich versehen die Reihen-IPS die 
Hostknoten mit Uberwachungs- und Erfassungsfahigkeiten 
einer unteren Ebene, die jenen eines Netz-IPS ahneln, und 
konnen eine Protokollanalyse und Signaturiibereinstim- 
mung oder eine andere Uberwachung oder Filterung des 
Hostverkehrs auf unterer Ebene liefern. Der wichtigste Vor- 
teil, den die Reihen-IPS-Technologien bieten, ist, daB die 
Angriffe erfaBt werden, wahrend sie geschehen. Wahrend 
die hostbasierten IPS Angriffe durch Uberwachen von Sy- 
stemprotokollen bestimmen, involviert eine Reihen-Ein- 
bruchserfassung das Uberwachen eines Nctzverkchrs und 
das Isolieren jener Pakete, bei denen festgestellt wurde, daB 
sie Teil eines Angriffs gegen den Hostserver sind, und so ein 
Ermoglichen, daB das Reihen-IPS tatsiichlich vcrhindcrl, 
daB der Angriff erfolgreich verlauft. Wenn bestimmt worden 
ist, daB ein Paket Teil eines Angriffs ist, kann die Reihen- 
IPS-Schicht das Paket aussortieren und somit verhindern, 
daB das Paket die obere Schicht des Protokollstapels cr- 
reicht, wo das Angriffspaket einen Schaden verursachen 
kann - ein Effekt, der im wesentlichen eine lokale Brand- 
mauer fur den Server erzeugt, der das Reihen-IPS hostet und 
dasselbe vor Bedrohungen schiitzt, die entweder aus cinem 
externen Netz, wie dem Internet, oder aus dem Inneren des 
Netzes kommen. Ferner kann die Reihen-IPS-Schicht inner- 
halb des Protokollstapels bei einer Schicht eingebettet sein, 
wo die Pakete so verschltisselt worden sind, daB das Reihen- 
IPS effektiv auf einem Netz mit verschlusselten Verkniip- 
fungen arbeitet. Zusatzlich kann das Reihen-IPS den ausge- 
henden Verkehr iiberwachen, weil sich sowohl der einge- 
hende als auch der ausgehende Verkehr, der jeweils fur ei- 
nen Server bestimmt ist und von demselben entstammt, der 
das Reihen-IPS hostet, durch den Protokollstapel bewegen 
muB. 

[0010] Obwohl die Vorteile der Reihen-IPS-Technologien 
zahlreich sind, bestehen bei der Implementierung eines sol- 
chen Systems einige Nachteile. Die Reihen-Einbruchserfas- 
sung ist allgemein prozessorinlensiv und kann das Verhalten 
des Knotens, der das Erfassungsdienstprogramm hastet, be- 
eintrachtigen. Zusatzlich konnen die Reihen-IPS zahlreiche 
falschposilive Angriffsdiagnosen erzeugen. Ferner konnen 
die Reihen-IPS ein systematisches Sondieren eines Netzes 
erfassen, wie ein solches, das durch Wiedererkennungsan- 
griffs-Dienstprograriime ausgefuhrt wird, weil nur der Ver- 
kehr am lokalen Server, der das Reihen-IPS hostet, dadurch 
uberwacht wird. 

[0011] Jede der netzbasierten, hostbasierten und reihenba- 
sierten IPS-Technologien weist jeweilige Vorteile, die vor- 
stehend beschrieben sind, auf. Idealerweise umfaBt ein Ein- 



DE 102 45 

5 

bruchpraventionssystem alle zuvor erwahnten Einbruchser- 
fassungsstraLegien. Zusatzlich kann cm IPS einen oder meh- 
rere Ereigniserzeugungsmechanismen aufweisen, die identi- 
fizierbare Ereignisse an eine oder mehrere Verwaltungsein- 
richlungen berichten. Ein Ereignis kann eine idenlifizierbare 5 
Serie von System- oder Netzbedingungen aufweisen oder 
sie kann eine einzelne identiiizierte Bedingung aufweisen. 
Ein IPS kann auch einen Analysemechanismus- oderModul 
aufweisen und kann Ereignisse analysieren, die durch den 
einen oder mehrere Ereigniserzeugnismechanismen erzeugt 10 
werden. Ein IPS kann ein Speicherungsmodul aufweisen, 
um Dalen zu speichern, die den einbruchsbezogenen Ereig- 
nissen zugeordnet sind. Das IPS kann auch einen Gegen- 
maBnahmemechanismus aufweisen, um eine MaBnahme 
auszufuhren, die eine erfaBte Ausbeutung vereiteln oder ab- 15 
wchren soli. 

[0012] Die Steuerung und Verwaltung eines BPS, das zum 
Schiitzen eines groBen Firmen- oder anderen GroBnetzes 
konzipiert ist, erfordert Mechanismen zum Verteilen von 
Befehls- und Sicherheitsaktualisierungen von einem oder 20 
mehreren Verwaltungsknoten an verschiedene IPS-Server, 
die sich im Netz befinden. Da zum Beispiel neue Angriffe 
entwickelt und Signaturen und GegenmaBnahmen dafiir de- 
finiert sind, miissen die neu definierten Signaturen und Ge- 
genmaBnahmen in die Knoten des Netzes, die durch den 25 
neuen Angriff ins Ziel gefaBt werden konnen, integriert wer- 
den. Tausendc von Systcmen konnen in einem Nctz umfaBl 
und durch ein IPS geschiitzt sein. Die relativ haufige Einfuh- 
rung von neuen Angriffen erfordert Angriffsregeln, die zum 
Filt.ern eines Netzverkehrs, der routinemaBig aktualisiert 30 
werden soli, verwendct werden. Bekannte Systeme zur Ver- 
teilung von Befehls- und Sicherheitsaktualisierungen in ei- 
nem IPS-geschiitzten Netz umfassen ausgestrahlte (broad- 
cast-maBig) Aktualisierungen von einem zentralen Verwal- 
tungslcnoten und eine Installation von Sicherheitsaktualisie- 35 
rungen individuell an jedem Knoten, der IPS-Fahigkeiten 
aufweist. Das Ausstrahlen von Befehls- und Sicherheitsak- 
tualisierungen erlaubt dem IPS-System netzweit von einer 
einzelnen Position aktualisiert zu werden, erfordert jedoch 
aber kostspielige hohe Bandbreitenverarbeitungsfahigkeiten 40 
am Verwaltungsknoten, der im Verhaltnis zur NetzgroBe 
skaliert. Das Aktualisieren von Angriffsregeln auf einer net- 
zweiten Basis verbraucht wertvolle Netzbandbreite und er- 
fordert eine entsprechend groBe Bandbreitenkapazitat der 
Netzknoten. Die individuelle Installation von Sicherheitsak- 45 
tualisierungen und eines jedes Knoten des Netzes ist auf- 
grund der erforderlichen Zeit und Arbeit, die zur vollen Ak- 
tualisierung des IPS erforderlich ist, unerwiinscht. 
[0013] Es ist eine Aufgabc der vorliegendcn Erfindung, 
ein Netz, ein Verfahren und ein computerlesbares Medium 50 
zum Verteilen von Sicherheitsaktualisierungen an ausge- 
wahlte Knoten auf einem Netz zu schaffen, die mil geringe- 
ren Bandbreitenanforderungen auskommen. 
[0014] Diese Aufgabe wird durch ein Netz gemaB An- 
spruch 1, ein Verfahren gemaB Anspruch 6 oder ein compu- 55 
terlesbares Medium gemaB Anspruch 10 geldsl. 
[0015] GemaB einem Ausfiihrungsbeispiel der vorliegen- 
den Erfindung wird ein Netz mit einem Einbruchsschutzsy- 
stem geschaffen, das ein Netzmedium, einen Verwaltungs- 
knoten, der mit dem Netzmedium verbunden ist und eine 60 
Einbruchpriiventionssystem-Verwaltungsanwendung be- 
treibt, aufweist, und eine Mehrzahl von Knoten, die mit dem 
NeLzmedium verbunden sind und eine Instanz (bzw. Exem- 
plar) einer Einbruchsschutzsystem-Anwendung betreiben, 
aufweist, wobei zumindest einer der Knoten eine Identilizie- 65 
rung aufweist, die demselben zugeordnet ist, basierend auf 
einer logischen Zuordnung, die einen oder mehrere der 
Mehrzahl von Knoten gruppiert, wobei jeder Knoten die 
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Identifizierung teilt, die allgemein fur zumindest eine Netz- 
ausbeutung anfallig ist. 

[0016] GemaB einem weiteren Ausfiihrungsbeispiel der 
vorliegenden Erfindung wird ein Verfahren zum Ubertragen 
einer Befehls- und Sicherheitsaktualisierungsnachricht an 
einen Teilsatz von Knoten einer Mehrzahl von Netzknoten 
geschaffen, das ein Erzeugen einer Aktualisierungsnach- 
richt durch einen Verwaltungsknoten des Netzes, ein Adres- 
sieren der Aklualisierungsnachricht an eine Netzadresse, die 
durch den Teilsatz von Knoten geteilt wird, ein Ubertragen 
der Aktualisienmgsnachricht und ein Empfangen und Verar- 
beiten der Aktualisicrungsnachricht durch den Teilsatz von 
Knoten aufweist. 

[0017] GemaB einem weiteren Ausfiihrungsbeispiel der 
vorliegenden Erfindung wird ein computerlesbares Medium 
geschaffen, auf dem ein Satz von Instruklionen, die ausge- 
fuhrt werden sollen, gespeichert ist, wobei der Satz von In- 
struklionen, wenn dieselben durch einen Prozessor ausge- 
fiihrt werden, bewirken, daB der Prozessor ein Compuler- 
verfahren zum Erzeugen, durch den Computer, einer Nach- 
richt, die an einen Teilsatz von Knoten auf einem Netz 
adressiert ist, zum Ubertragen der Nachricht auf einem 
Netzmedium des Netzes an den Teilsatz von Knoten, zum 
Empfangen der Nachricht durch einen Router, der am Netz- 
medium endet, und zum Weiterieiten, durch den Router, der 
Nachricht anbeliebige Knoten, die in dem Teilsatz von Kno- 
ten auf einem zweitcn Netzmedium enthalten sind, das 
durch den Router beendet wird, ausfuhrt. 
[0018] Bevorzugte Ausfiihrungsbeispiele der vorliegen- 
den Erfindung werden nachfolgend Bezug nehmend auf die 
beiliegenden Zeichnungen nahcr erlautcrt. Es zeigen: 
[0019] Fig. 1 eine exemplarische Anordnung zum Aus- 
fiihren einer Computersystembeeintrachtigung gemaB dem 
Stand der Technik; 

[0020] Fig. 2 ein umfassendes Einbruchspraventionssy- 
stem, das netzbasierte und hybrid-hostbasierte und knoten- 
basierte Einbrucherfassungstechnologien gemaB einem 
Ausfiihrungsbeispiel der Erfindung nutzt; 
[0021] Fig. 3 einen exemplarischen Netzprotokollstapel 
gemaB dem Stand der Technik; 

[0022] Fig. 4 einen Netzknoten, der ein Beispiel (Instanz) 
einer Einbruchsschutzsystem-Anwendung gemaB einem 
Ausfiihrungsbeispiel der vorliegenden Erfindung betreiben 
kann; 

[0023] Fig. 5 einen exemplarischen Netzknoten, der als 
ein Verwaltungsknoten innerhalb eines Netzes arbeiten 
kann, das durch das Einbruchsschutzsystem gemaB einem 
Ausfiihrungsbeispiel der vorliegenden Erfindung geschiitzt 
ist; 

[0024] Fig. 6 eine vereinfachte Darslellung eines Netzes, 
das ein Unternehmens-Einbruchpraventionssystem gemaB 
einem Ausfiihrungsbeispiel der vorliegenden Erfindung, die 
auf demselben cingesctzt werden kann, aufweist; und 
[0025] Fig. 7 eine logische Gruppierung von Knoten, die 
in einem Netz angeordnet sind, die einen Gruppensenden 
(Multicast) von Befehls- und Sicherheitsaktualisierungen 
von einem Verwaltungsknoten gemaB einem Ausfiihrungs- 
beispiel der vorliegenden Erfindung erleichtert. 
[0026] Das bevorzugte Ausfiihrungsbeispiel der vorlie- 
genden Erfindung und seine Vorteilc werden untcr Bczug- 
nahme auf Fig. 1 bis 7 der Zeichnungen, wo identische Be- 
zugszeichen fur identische und entsprechende Teile der ver- 
schiedenen Zeichnungen verwendet werden, am besten ver- 
standlich. 

[0027] In Fig. 1 ist eine exemplarische Anordnung zum 
Ausfiihren einer Computersystembeeintrachtigung darge- 
stellt, wobei das dargestellte Beispiel eine vereinfachte An- 
ordnung des verteilten Einbruchsnetzes 40 zeigt, die typisch 
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fur verteilte Systemangriffe ist, die auf eine Zielmaschine 30 
gcrichlet sind. Eine Angriffsmaschine 10 kann eine Ausfiih- 
rung eines verteilten Angriffs durch eine beliebige Anzalil 
von Angreiferangriffsagenten 20A-20N durch eine von 
zahlreichen Techniken, wie ciner Femsteuerung durch die 
IRC-Roboteranwendungen, anweisen. Die Angriffsagenten 
20A-20N, die auch als "Zombies" und "Angriffsagenten" 
bezeichnet werden, sind allgemein Computer, die zur offent- 
lichen Nutzung verfiigbar sind oder die so beeintrachtigt 
worden sind, daB ein verteilter Angriff im AnschluG an ei- 
nen Befehl einer Angriffsmaschine 10 gestartet werden 
kann. Zahlreiche Typen von verteilten Angriffen konnen ge- 
gen eine Zielmaschine 30 gestartet werden. Die Zielma- 
schine 30 kann einen umfassenden Schaden durch gleichzei- 
tige Angriffe durch die Angriffsagenten 20A-20N erleiden, 
und die Angriffsagenten 20A-20N konnen durch die Client- 
Angriffsanwendung ebenso beschadigt werden. Ein verteil- 
tes Einbruchsnetz kann eine zusatzliche Schicht von Ma- 
schinen aufweisen, die in einen Angriff zwischen der An- 
griffsmaschine 10 und den Angriffsagenten 20A-20N invol- 
viert sind. Diese Zwischenmaschinen werden allgemein als 
"Handhabungseinrichtungen" ("Handler") bezeichnet und 
jede Handhabungseinrichtung kann einen oder mehrere An- 
griffsagenten 20A-20N steuern. Die Anordnung, die zum 
Ausfiihren einer Computersystembeeintrachtigung gezeigt 
ist, ist nur illustrativ und kann zahlreiche Anordnungen be- 
eintrachtigcn, die so einfach sind wie eine einzelne An- 
griffsmaschine 10, die eine Zielmaschine 30 durch z. B. 
Senden eines bosartigen Sondierungspakets oder anderer 
Daten, die die Zielmaschine 30 beeintrachtigen sollen, an- 
greift. Die Zielmaschine kann mit einem groBeren Netz ver- 
bunden sein und ist dies auch haufig, und ein Angriff auf 
dieselbe durch die Angriffsmaschine 10 kann einen Schaden 
an einer groBon Ansammlung von Computcrsystemcn bc- 
wirken, die sich haufig innerhalb des Netzes befinden. 
[0028] In Fig. 2 ist ein umfassendes Einbruchspraventi- 
onssystem dargestellt, das netzbasierte und hybridhostba- 
sierte/knotenbasierte Einbruchserfassungstechnologien ge- 
maG einem Ausfiihrungsbeispiel der Erfindung nutzt. Ein 
oder mehrere Netze 100 konnen mit dem Internet 50 iiber ei- 
nen Router 45 oder eine andere Vorrichtung schnittstellen- 
maBig verbunden sein. Bei dem veranschaulichenden Bei- 
spiel weist das Netz 100 zwei Ethernet-Netze 55 und 56 auf. 
Das Ethernet-Netz 55 weist einen Webinhaltsserver 270A 
und einen Daleitransport-Protokollinhaltsserver 270B auf. 
Das Ethernet-Netz 56 weist einen Domain-Namenserver 
270C, einen Mail-Server 270D, einen Datenbank-Server 
270E und einen Dateiserver 270F auf. Ein Brandmauer- 
/Proxy-Rouler 60, der zwischen den Ethernets 55 und 56 an- 
geordnet ist, liefert fur die verschiedenen Systeme des Net- 
zes 56 eine Sicherheits- und AdreBauflosung. Eine netzba- 
sierte IPS- Vorrichtung 80 und 81 ist jeweils auf beiden Sei- 
ten des Brandmaucr-ZProxy-Routcrs 60 implementiert, urn 
die Uberwachung von versuchten Angriffen auf ein oder 
mehrere Elemente der Ethernet-Netze 55 und 56 zu erleich- 
tern und um eine Aufzeichnung von erfolgreichen Angriffen 
zu erleichtern, die den Brandmauer-ZProxy-Router 60 er- 
folgreich durchdringen. Die netzbasierten IPS-Vorrichtun- 
gen 80 und 81 konnen jeweils eine Datenbank 80A und 81A 
der bekannten Angriffssignaturen oder Regeln aufweisen 
(oder alternativ mit derselben verbunden sein), mit denen 
die Netzrahmen, die dadurch erfaBt wurden, verglichen wer- 
den konnen. Alternativ kann eine einzelne Datenbank (nicht 
gezeigt) innerhalb eines Netzes 100 zentral angeordnet sein, 
und netzbasierte IPS-Vorrichtungen 80 und 81 konnen auf 
dieselbe zugreifen. Dementsprechend kann die netzbasierte 
IPS- Vorrichtung 80 alle Pakete, die vom Internet 50 in das 
Netz 100 eingehen und am Ethernet-Netz 55 ankommen, 



tiberwachen. Desgleichen kann eine netzbasierte IPS-Vor- 
richtung 81 alle Pakete, die durch den Brandmaucr-ZProxy- 
Router 60 zur Auslieferung an das Ethernet-Netz 56 passiert 
werden, tiberwachen und vergleichen. Ein IPS-Verwaltungs- 
5 knoten 85 kann auch Teil des Netzes 100 sein, um die Kon- 
figuration und Verwaltung der IPS-Komponenten im Netz 
100 zu erleichtern. 

[0029] Angesichts der vorstehend angemerkten Unzu- 
langlichkeiten der netzbasierten Einbruchspravenlionssy- 

10 steme ist vorzugsweise ein hybrid-hostbasiertes und knoten- 
basiertes Einbruchspraventionssystem innerhalb eines jeden 
der verschiedenen Knoten, wie den Scrvern 270A-270N 
(die hierin auch als "Knoten" bezeichnet werden), des Ether- 
net-Netzes 55 und 56 im gesicherten Netz 100 implemen- 
ts tiert. Der Verwaltungsknoten 85 kann Alarmmitteilungen 
von den jeweiligen Knoten innerhalb des Netzes 100 nach 
der Erfassung eines Einbruchsereignisses durch eine belie- 
bige der netzbasierten IPS-Vorrichtungen 80 und 81 sowie 
einen beliebigen der Knoten des Netzes 100, auf dem ein hy- 

20 brid-agentenbasiertes und knotenbasiertes IPS implemen- 
tiert ist, empfangen. Zusatzlich kann jeder Knoten 
270A-270F ein lokales Dateisystem zum Archivieren von 
einbruchsbezogenen Ereignissen, zum Erzeugen von ein- 
bruchsbezogenen Meldungen und zum Speichern von Si- 

25 gnaturdateien, im Vergleich zu denen die lokalen Netzrah- 
men und/oder Pakete untersucht werden, nutzen. 
[0030] Vorzugsweise sind die netzbasierten IPS-Vorrich- 
tungen 80 und 81 dedizierte Entitaten zum tiberwachen des 
Netzverkehrs auf den zugeordneten Ethernets 55 und 56 des 

30 Netzes 100. Um die Einbruchserfassung bei Hochgeschwin- 
digkeitsnetzen zu erleichtern, weisen die netzbasierten IPS- 
Vorrichtungen 80 und 81 vorzugsweise einen groBen Erfas- 
sungs-RAM zum Erfassen von Paketen auf, da diese auf den 
jeweiligen Ethernet-Nctzen 55 und 56 ankommen. Zusalz- 

35 lich wird bevorzugt, daB die netzbasierten IPS-Vorrichtun- 
gen 80 und 81 jeweils hardwarebasierte Filter zum Filtern 
des Netzverkehrs aufweisen, obwohl ein IPS-Filtern durch 
die netzbasierten IPS-Vorrichtungen 80 und 81 in einer Soft- 
ware implementiert sein kann. AuBerdem konnen die netz- 

40 basierten IPS-Vorrichtungen 80 und 81 z. B . durch Anforde- 
rung des IPS-Verwaltungslcnotens 85 konfiguriert sein, um 
eine oder mehrere spezifische Vorrichtungen und nicht alle 
Vorrichtungen auf einem gemeinsamen Netz zu iiberwa- 
chen. Zum Beispiel kann eine netzbasierten IPS-Vorrich- 

45 tung 80 angewiesen werden, nur den Nelzdatenverkehr zu 
tiberwachen, der an den Webserver 270A adressiert ist. 
[0031] Die hybrid-hostbasierten/knoten-basierten Ein- 
bruchspraventionssystemtechnologien konnen auf alien 
Knoten 270A-270N auf den Ethcrnct-Netzcn 55 und 56 im- 

50 plementiert sein, die durch einen Netzangriff ins Ziel gefaBt 
werden konnen. Allgemein besteht jeder Knoten aus einem 
umprogrammierbaren Computer mit einer CPU (CPU = 
central processing unit zentrale Verarbcitungseinheit), ei- 
nem Speichermodul, das betreibbar ist, um einen maschi- 

55 nenlesbaren Code zu speichern, der durch die CPU wieder- 
gewinnbar und ausfiihrbar ist, und kann ferner verschiedene 
Peripherievorrichtungen, wie einen Anzeigemonitor, eine 
Tastatur, eine Maus und eine andere Vorrichtung, die mit 
demselben verbunden sind, aufweisen. Ein Speicherungs- 

60 medium, wie eine Magnctplattc, eine optische Platte oder 
eine andere Komponente, die zum Speichern von Daten be- 
treibbar ist, kann mit dem Speichermodul verbunden sein 
und dadurch zugreifbar sein und kann eine oder mehrere Da- 
tenbanken zum Archivieren von lokalen Einbruchsereignis- 

65 sen und Einbruchsereignisberichten liefern. Ein Betriebssy- 
stem kann in das Speichermodul, z. B. nach dem Booten des 
jeweiligen Knotens, geladen werden und eine Instanz eines 
Protokollstapels sowie verschiedene Softwaremodule der 
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unteren Ebene aufweisen, die fur Aufgaben, wie ein schnitt- 
slellenmaBiges Verbinden mit einer Peripheriehardware, ein 
Planen von Aufgaben, eine Zuweisung der Speicherung so- 
wie anderer Systemaufgaben, erforderlich sind. Jeder Kno- 
ten, der durch das hybrid-hostbasierLe und knotenbasierte 5 
IPS der vorliegenden Erfindung geschutzt ist, weist dement- 
sprechend eine IPS-Softwareanwendung auf, die innerhalb 
des Knotens beibehalten wird, wie in einer magnetischen 
FestplaLte, die durch das Belriebssystem wiedergewinnbar 
und durch die zentrale Verarbeitungseinheit ausfiihrbar ist. 10 
Zusatzlich weist jeder Knoten, der eine Instanz der IPS-Vor- 
richtung ausfiihrt, cine lokale Datenbank auf, von der aus Si- 
gnaturbeschreibungen von dokumentierten Angriffen vom 
Speicher geholt und mit einem Paket oder Rahmen von Da- 
ten verglichen werden konnen, um eine Entsprechung zwi- 15 
schen denselben zu erfassen. Die Erfassung einer Entspre- 
chung zwischen einem Paket oder Rahmen an einem IDS- 
Server kann zur Ausfiihrung von einer beliebigen oder meh- 
reren von verschiedenen Sicherheitsprozeduren fuhren. 
[0032] Das unter Bezugnahme auf Fig. 2 beschriebene 20 
IPS kann auf einer beliebigen Anzahl von Plattformen im- 
plementiert sein. Jede hybrid-hostbasierte/knoten-basierte 
Instanz der IPS-Vorrichtung, die hierin beschrieben ist, ist 
vorzugsweise auf einem Netzknoten, wie einem Webserver 
270A, implementiert, der unter Steuerung eines Betriebssy- 25 
stems, wie Windows NT 4.0 betrieben wird, das in einem 
Hauplspeicher gespcicherl ist und auf einer zentralen Verar- 
beitungseinheit arbeitet, und versucht, Angriffe, die auf den 
Hostknoten gerichtet sind, zu erfassen. Das spezielle Netz 
100, das in Fig. 2 dargestellt ist, ist nur exemplarisch und 30 
kann cine beliebige Anzahl von Netzknoten, wie Nctzserver 
oder Computer aufweisen. Firmen- und/oder andere GroB- 
netze konnen typischerweise zahlreiche individuelle Sy- 
steme aufweisen, die ahnliche Diensle anbieten. Zum Bei- 
spiel kann ein Firmennetz Hunderte von einzelnen Webser- 35 
vern, Mailservern, FTP-Servern und anderen Systemen auf- 
weisen, die gemeinsame Datendienste anbieten. 
[0033] Jedes Bctriebssystem eines Knotens, der eine In- 
stanz einer IPS-Vorrichtung umfaBt, weist zusatzlich einen 
Netzprotokollstapel 90 auf, der in Fig. 3 dargestellt ist, der 40 
den Eingangspunkt fur Rahmen definiert, die durch einen 
ins Ziel gefaBten Knoten aus dem Netz, z. B. dem Internet 
oder Intranet, empfangen werden. Der dargestellte Netzsta- 
pel 90 stellt den hinreichend bekannten Windows-NT-(TM)- 
Systemnelzprotokollstapel dar und ist so ausgewahll wor- 45 
den, um die Erorterung und das Verstandnis der Erfindung 
zu erleichtern. Es wird jedoch darauf hingewiesen, daB die 
Erfindung nicht auf eine spezifische Implementierung des 
dargcslcllten Netestapels 90 beschrankt ist, sondern vicl- 
mehr auf den Stapel 90, der beschrieben ist, um das Ver- 50 
standnis der Erfindung zu erleichtern. Der Netzstapel 90 
weist eine TDI (TDI = transport driver interface = Trans- 
porttrcibcrschnittstelle) 125, einen Transporttrciber 130, ei- 
nen Protokolltreiber 135 und einen MAC-Treiber (MAC = 
media access control = Medienzugriffssteuerung) 145 auf, 55 
der mit dem physischen Medium 101 schnittstellenmaBig 
verbunden ist. Die Transporttreiberschnittstelle 125 funktio- 
niert, um den Transporttreiber 130 mit den Dateisystemtrei- 
bern einer hoheren Ebene schnittstellenmaBig zu verbinden. 
Demcntsprechend ermoglichl. die TDI 125 den Betriebssy- 60 
stemtreibem, wie den Netzumleitern, eine Sitzung zu akti- 
vieren oder an den entsprechenden Protokolltreiber 135 zu 
binden. Folglich kann ein Umleiter auf das enlsprechende 
Protokoll, z. B. ein UDP, TCP, NetBEUI oder anderes Netz- 
oder Transportschichtprotokoll, zugreifen, wodurch der 65 
Umleiter protokollunabhangig gemacht wird. Der Protokoll- 
treiber 135 erzeugt Datenpakete, die vom Computer, der den 
Netzprotokollstapel 90 hostet, auf einen anderen Computer 
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oder eine andere Vorrichtung auf dem Netz oder einem an- 
deren Netz iiber das physische Medium 101 gesendet wer- 
den. Typische Protokolle, die durch einen NT-Netzproto- 
kollstapel unterstiitzt werden, weisen NetBEUI, TCP/TP, 
NWLink, DLC (DLC = data link control = Datenverkniip- 
fungssteuerung) und AppleTalk auf, obwohl andere Trans- 
port- und/oder Netzprotokolle umfaBt sein konnen. Ein 
MAC-Treiber 145, z. B. ein Ethernet-Treiber, ein Token- 
Ring- Treiber oder ein anderer Netzbetriebs treiber, ermog- 
licht ein entsprechendes Formatieren und schnittstellenma- 
Biges Verbinden mit dem physischen Medium 101, wie ei- 
nem Koaxialkabel oder einem anderen Ubertragungsme- 
dium. 

[0034] Die Fahigkeiten des hostbasierten TPS weisen die 
Anwendungsiiberwachung von Dateisystemereignissen; ei- 
nem Registrierzugriff; von erfolgreichen Sichcrhcitsercig- 
nissen; gescheiterten Sicherheitsereignissen und einer auf- 
falligen ProzeBuberwachung auf. Bei Netzzugriffsanwen- 
dungen, wie einem Microsoft-US- und SQL-Server, konnen 
Prozesse, die auf dieselben bezogen sind, ebenfalls uber- 
wacht werden. 

[0035] Einbruche konnen auf einem speziellen IPS-Host 
durch Implementieren von knotenbasierten Reiheniiberwa- 
chungstechnologien (Inline-Uberwachungstechnologien) 
verhindert werden. Das Reihen-IPS (Inline-IPS) ist vorzugs- 
weise als Teil eines hybrid-hostbasierten/knoten-basierten 
IPS umfaBt, obwohl es unabhiingig von einem beliebigen 
hostbasierten IPS-System implementiert sein kann. Das Rei- 
hen-IPS analysiert die Pakete, die am Hostknoten empfan- 
gen werden, und fiihrt eine Signaturanaly.se derselben ge- 
gcniiber einer Datenbank von bekannten Signaturcn durch 
ein Netzschichtfiltern aus. 

[0036] In Fig. 4 ist ein Netzknoten 270 dargestellt, der 
eine Instanz einer IPS-Vorrichtung 91 bctreibcn kann und so 
als ein PS-Server operieren kann. Die IPS-Vorrichtung 91 
kann als eine dreischichtige IPS, wie in einer ebenfalls an- 
hangigen US-Anmeldung mit dem Titel "Method, Computer 
Readable Medium, and Node for a Three-Layered Intrusion 
Prevention System for Detecting Network Exploits", die 
gleichzeitig mit der Anmeldung, deren Priori tat hierin bean- 
sprucht wird, eingereicht wurde und auf die gleiche Inhabe- 
rin ubertragen wurde, beschrieben ist, implementiert sein 
und kann eine Serveranwendung und/oder eine Client-An- 
wendung aufweisen. Der Netzknoten 270 weist allgemein 
eine CPU 272 und ein Speichenriodul 274 auf, das betreib- 
bar ist, um einen maschinenlesbaren Code zu speichern, der 
durch die CPU 272 iiber einen Bus (nicht gezeigt) wiederge- 
winnbar und ausfuhrbar ist. Ein Speicherungsmedium 276, 
wie cine Magnctplatte, cine oplische Platte oder cine andere 
Komponente, die betreibbar ist, um Daten zu speichern, 
kann mit einem Speichermodul274 verbunden sein und da- 
durch durch den Bus ebenso zugreifbar sein. Ein Belriebssy- 
stem 275 kann in das Speichcrmodul 274, z. B. nach dem 
Booten des Knotens 270, geladen werden und eine Instanz 
des Protokollstapels 90 aufweisen und bewirken, daB eine 
Einbruchspriiventionssystemanwendung 91 vom Speiche- 
rungsmedium 276 geladen wird. Eine oder mehrere Netz- 
ausbeutungsregeln, eine exemplarische Form, die in der 
ebenfalls anhangigen Anmeldung mit dem Titel "Method, 
Node and Computer Readable Medium for Identifying Data 
in a Network Exploit", die gleichzeitig hiermit eingereicht 
wird, beschrieben ist, kann zu maschinenlesbaren Signatu- 
ren kompiliert und innerhalb einer Datenbank 277 gespei- 
chert sein, die in das Speichermodul274 ladbar ist, und kann 
durch die IPS-Vorrichtung 91 zum Erleichtern einer Analyse 
von Netzrahmen und/oder Paketen wiedergewonnen wer- 
den. 

[0037] In Fig. 5 ist ein exemplarischer Netzknoten darge- 
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stellt, der als ein Verwaltungsknoten 85 des IPS einesNetzes 
100 arbeiten kann. Der Verwaltungsknoten 85 weist allge- 
mein eine zentrale Verarbeitungseinheit 272 und ein Spei- 
chermodul 274 auf, die betreibbar sind, um einen maschi- 
nenlesbaren Code zu speichcm, der durch die CPU 272 iiber 
einen Bus (nicht gezeigt) wiedergewinnbar und ausfuhrbar 
ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, 
eine optische Platte oder eine andere Koraponente, die be- 
treibbar ist, um Daten zu speichem, kann init dem Speicher- 
modul 274 verbunden sein und ist dadurch auch durch den 
Bus zugreifbar. Ein Betriebssystem 275 kann in das Spei- 
chcrmodul 274, z. B. nach dem Booten des Knotens 85, ge- 
laden werden und eine Instanz des Protokollstapels 90 auf- 
weisen. Das Betriebssystem 275 ist betreibbar, um eine IPS- 
Verwaltungsanwendung 279 vom Speicherungsmedium 276 
zu holen und die Vcrwaltungsanwendung 279 in das Spei- 
chermodul 274 zu laden, wo sie durch die CPU 272 ausge- 
fiihrt wird. Der Rnoten 85 weist vorzugsweise eine Eingabe- 
vorrichtung 281, wie eine Tastatur, und eine Ausgabevor- 
richtung 282, wie einen Monitor, der mit demselben verbun- 
den ist, auf. 

[0038] Ein Operator des Verwaltungsknotens 85 kann eine 
oder mehrere Textdateien 277A-277N iiber die Eingabevor- 
richtung 281 eingeben. Jede Textdatei 277A-277N kann 
eine netzbasierte Ausbeutung definieren und eine logische 
Beschreibung einer Angriffssignatur sowie IPS-Anweisun- 
gen zum Ausfuhren nach ciner IPS-Auswertung eincs ein- 
bruchsbezogenen Ereignisses, das der beschriebenen An- 
griffssignatur zugeordnet ist, aufweisen. Jede Textdatei 
277A-277N kann in einer Datenbank 278A auf einem Spei- 
cherungsmedium 276 gespcichert sein und durch einen 
Kompilierer 280 in eine jeweilige maschinenlesbare Signa- 
turdatei 281A-281N kompiliert werden, die in einer Daten- 
bank 278B gespcichert ist. Jede der maschinenlesbaren Si- 
gnaturdateien 281A-281N weist einen binaren logischen 
Stellvertreter der Angriffssignatur, die in der jeweiligen zu- 
geordneten Textdatei 277A-277N beschrieben ist, auf. Ein 
Operator des Verwaltungsknotens 85 kann den Verwaltungs- 
knoten 85 durch Interaktion mit einer Client-Anwendung 
der TPS-Vorrichtung 279 iiber eine Eingabevorrichtung 281 
periodisch anweisen, eine oder mehrere maschinenlesbare 
Signaturdateien (die hierin auch allgemein als "Signaturda- 
teien" bezeichnet werden), die in der Datenbank 278B ge- 
speichert sind, an einen Knoten oder eine Mehrzahl von 
Knoten im Netz 100 zu iibertragen. Alternaliv konnen die 
Signaturdateien 281A-281N in einem computerlesbaren 
Medium, wie einer Kompaktdisk, einer Magnet-Diskette 
oder einer anderen tragbaren Speicherungsvorrichtung, ge- 
spcichert sein und auf dem Knoten 270 des Nelzes 100 in- 
stalliert sein. Die Anwendung 279 ist vorzugsweise betreib- 
bar, um alle solchen Signaturdateien 281A-281N oder einen 
oder mehrere Teilsatze derselben an einen Knoten oder eine 
Mehrzahl von Knoten im Netz 100 zu iibertragen. Vorzugs- 
weise stellt die EPS-Vorrichtung 279 eine graphische Benut- 
zerschnittstelle auf der Ausgabevorrichtung 282 zum Er- 
leichtern der Eingabe von Befehlen in dieselbe durch einen 
Operator des Knotens 85 bereit. 

[0039] Wahrend neue Angriffe entwickelt und Signaturen 
und CegenmaBnahmen dafiir definiert werden, mussen die 
neu dcfmierten Signaturen und GegenmaBnahmen in das 
IPS, das innerhalb der geschutzten Knoten des Netzes im- 
plementiert ist, die durch den neuen Angriff ins Ziel gefaBt 
werden konnen, und/oder in die netzbasierte IPS-Vorrich- 
tungen integriert werden, die zugeordnet sein konnen, um 
das Netz zu schiitzen. Folglich erfordert die Sleuerung und 
Verwaltung eines IPS, das zum Schiitzen eines groBen Fir- 
men- oder anderen GroBnetzes konzipiert ist, Mechanismen 
zum Verteilen von Befehls- und Sicherheitsaktualisierungen 



von einem oder mehreren Verwaltungsknoten an verschie- 
dene IPS-Server, die im Netz positioniert sind. 
[0040] Die vorliegende Erfindung schafft einen Mechanis- 
mus zum Reduzieren der erforderlichen Bandbreitenkapazi- 

5 tat einer Vcrwaltungskonsole und erleichtert eine Reduktion 
der Netzbandbreite, die verbraucht wird, wenn die Befehls- 
und Sicherheitsaktualisierungen von einer Verwaltungskon- 
sole innerhalb eines Netzes verteilt werden, indem einem 
Teilsatz von ausgewahlten Knoten ermoglichl wird, von ei- 

10 ner zentralen Verwaltungskonsole in einer Weise aktualisiert 
zu werden, die unnotwendige Aktualisierungen umgeht, die 
auf den Knoten ausgefiihrt werden, die durch eine Sicher- 
heitsaktualisierung nachteilig beeintrachtigt werden kon- 
nen. 

15 [0041] Unter Bezugnahme auf Fig. 6 ist ein vereinfachtes 
Netz 200 dargestellt, das cin Unlcrnehmens-Einbruchpra- 
ventionssystem aufweisen kann, das vorzugsweise netzba- 
sierte und hybridhostbasierte und knotenbasierte Einbruch- 
erfassungstechnologien gemaB einem Ausfuhrungsbeispiel 

20 der Erfindung vorzugsweise verwendet. Ein geschutztes 
Netz 200 kann ein oder mehrere Teilnetze wie die Ethernet- 
Netze 200A-200N umfassen, die mit jeweiligen Routern 
106A-106M schnittstellenmaBig verbunden sind. Das Netz 
200 kann mit dem Internet 50 iiber einen Router 40 schnitt- 

25 stellenmiiBig verbunden sein. Das beispielhafte Ethernet 
200A umfaBt eine Mehrzahl von Web-Servern 201A-201L, 
eine Mehrzahl von FTP-Servcrn 203A-203M und cine 
Mehrzahl von Datenbankservern 207A-207N. Eine netzba- 
sierte rPS-Vorrichtung 180 ist vorzugsweise mit dem Ether- 

30 net 200A iiber eine Netzschniltstellenkarle (nicht. gezeigt.) 
verbunden, die in einem "wahlloscn Modus" arbeitet und 
betreibbar ist, um auffallige Netzrahnien, die auf dem Ether- 
net 200A empfangen werden, zu scannen und zu identifizie- 
rcn. Ein Brandmauer-/Proxyroul.er 160A kann das Ethernet 

35 200A mit dem Ethernet 200B schnittstellenmaBig verbinden 
und erleichtert ein Weiterleiten von Paketen zwischen den- 
selben und liefert SicherheitsmaBnahmen und/oder Proxy- 
Dienste, um den Zugriff auf das Internet 50 fur die Knoten 
auf den Ethernet-Netzen 200B-200N zu erleichtern. Das 

40 beispielhafte Ethernet 200B umfaBt einen Domain-Namen- 
server 170, eine Mehrzahl von Dateiservern 205A-205Q, 
eine Mehrzahl von Datenbankservern 208A-208P und eine 
Mehrzahl von Mailservern 210A-210R. Das Ethernet 200B 
kann eine netzbasierte JPS-Vorrichtung 181 aufweisen, die 

45 betreibbar ist, um auffallige Netzrahnien, die iiber das Ether- 
net 200B iibertragen werden, zu tiberwachen und zu identi- 
fizieren. Eine Mehrzahl von anderen Netzen 200C-200M 
(nicht gezeigt) kann mit dem Netz 200 verbunden sein oder 
in demselben umfaBt sein. Ein excinplarischcs finales Ether- 

50 net 200N kann mit anderen Ethernet-Netzen 200A^200M 
iiber einen Brandmauer-ZProxyrouter 160M schnittstellen- 
maBig verbunden sein. Das beispielhafte Ethernet 200N um- 
faBt eine Mehrzahl von Webscrvern 202A-202T, cine Mehr- 
zahl von KTP-Servern 204A-204U, eine Mehrzahl von Da- 

55 teiservern 206A-206V, eine Mehrzahl von Datenbankser- 
vern 209A-209W und eine Mehraahl von Mailservern 
211A-211X sowie eine netzbasierte IPS-Vorrichtung 182, 
die betreibbar ist, um auffallige Netzrahnien, die iiber das 
Ethernet 200N iibertragen werden, zu uberwachen und zu 

60 identifizieren. Zusatzlich sind ein oder mehrere IPS- Verwal- 
tungsknoten 85 mit dem Netz 200 verbunden und konnen 
Alarmnachrichten von den jeweiligen Knoten innerhalb des 
Netzes 200 nach einer Erfassung eines Einbruchsereignisses 
empfangen sowie eine Verteilung der Befehls- und Sicher- 

65 heitsaktualisierungen an verschiedene IPS-Server hervor- 
bringen, die auf einem beliebigen der verschiedenen Knoten 
des Netzes 200 gemaB einem Ausfuhrungsbeispiel der Er- 
findung arbeiten. Jeder Server oder Knoten 201A-201L, 
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202A-202T, 203A-203M, 204A-204U, 205A-205Q, 
206A-206V, 207A-207N, 208A-208P, 209A-209W, 
210A-210R irad 211A-2ULX ist vorzugsweise mit der allge- 
meinen Beschreibung des Knotens 270, der vorstehend be- 
schrieben ist, konform, und jcder Knoten beLreibL vorzugs- 5 
weise eine Instanz der EPS-Vorrichtung 91 und unterhalt 
eine jeweilige Datenbank 277 von Signaturdateien, die 
durch den jeweiligen Knoten gefiltert werden konnen. Der 
Inhalt der Instanz der Datenbank 277 kann sich von Knoten 
zu Knoten unterscheiden, und die maschinenlesbaren Signa- to 
turen, die in demselben gespeichert sind, konnen periodisch 
modifizicrt, geloscht oder erweitert werden. 
[0042] GemaB einem Reduzieren der erforderlichen 
Bandbreitenkapazitat des IPS- Verwaltungsknoten 85 kon- 
nen die Knoten, die eine IPS-Vorrichtung 91 betreiben, logi- 15 
sche Gruppenbezeichnungen aufweisen, die denselben zu- 
geordnet sind, auf die gemeinsame Sicherheitsvorschriften 
angewendet werden konnen. Zum Beispiel konnen die Mail- 
server 210A-211X einander logisch zugeordnet sein, weil 
sie, aufgrund der Gemeinsamkeit ihrer Dienste, durch iden- 20 
tische Angriffe ins Ziel gefaBt werden konnen, die keine an- 
deren Knoten beeintrachtigen, die andere Netzdienste lie- 
fern. So wird eine Sicherheitsaktualisierung, wie Signatur- 
dateien, die maschinenlesbare Angriffssignaturen aufwei- 
sen, die auf einen SMTP-Angriff (SMTP = simple mail 25 
transfer protocol = einf aches Mail-Ubertragungsprotokoll) 
bezogen sind, die durch das Netz ausgestrahlt wird, durch 
alle Knoten empfangen, die eine IPS-Instanz aufweisen, die 
auf denselben ungeachtet der Tatsache, ob der zugeordnete 
KnoLen fiir einen solchen Angriff anfallig ist oder nicht, in- 30 
stalliert ist. Nebcn dem Erfordernis einer Verarboitungs- und 
Ubertragungsbandbreite, die im wesentlichen am Verwal- 
tungsknoten 85 verschwendet wird, der zum Erzeugen und 
Ubertragen der Sicherheitsaktualisierung verantworllich ist, 
kann eine Netzbandbreite in ineffizienter Weise zum Aus- 35 
strahlen der Aktualisierungsnachricht an die Knoten ver- 
wendet werden, die keinen Schutz vor der SicherheitsmaB- 
nahme, die durch die ausgestrahlte Nacliricht geliefert wird, 
erfordern. Zusatzlich installieren ubliche IPS all diese Si- 
cherheitsaktualisierungen und setzen die Verarbeitung der 40 
Signaturen fort, die somit jedesmal geliefert werden, wenn 
ein Rahmen oder ein Paket durch das IPS analysiert wird. Im 
Laufe der Zeit kann ein gegebener Knoten zahlreiche Si- 
cherheitsaktualisierungen zusammentragen, die Sicherheits- 
maGnahmen liefern, die den Angriffen zugeordnet sind, die 45 
auf den Knoten nicht zutreffen. Die Verarbeitung solcher Si- 
cherheitsmaBnahmen ist inefficient und kann zu Betriebs- 
verlusten und Ineffizienzen der IPS-Vorrichtung 91 sowie zu 
Betriebsvcrlusten des hostenden Knotens fiihren. 
[0043] Unter Bezugnahme auf Fig. 7 ist eine logische 50 
Gruppierung von Knoten dargestellt, die im Netz 200 ange- 
ordnet ist, die eine Gruppensendung von Befehls- und Si- 
cherheitsaktualisierungen vom Verwaltungsknoten 85 ge- 
maB einem Ausffihrungsbeispiel der vorliegenden Erfin- 
dung erleichtert. Die Webserver 201A-202T konnen durch 55 
einen Verwaltungsknoten 85 basierend auf der Gemeinsam- 
keit der Dienste, die jeweils durch denselben bereitgestellt 
werden, logisch zugeordnet sein. Folglich kann eine Identi- 
fizierung der Logische-Zuordnungsgruppierungs- Webser- 
ver 201A-201T zugeordnet und unter den Webservern 60 
201A-201T aufgeteilt werden, so daB die Befehls- und Si- 
cherheitsaktualisierungen, wie Angriffssignaturen, die Si- 
gnaturen von Angriffen definieren, die an einen Webinhalts- 
Server gerichtet werden konnen, im allgemeinen adressiert 
und nur an jene Knoten verteilt werden konnen, die dadurch 65 
eventueli betroffen sind, d. h. die Identifizierung der logi- 
schen Zuordnung dient dazu, einen oder mehrere Knoten 
des Netzes 200 in logische Gruppen zu gruppieren, wobei 
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jeder Knoten in einer Gruppe im allgemeinen fiir eine spe- 
zielle Ausbeutung anfallig ist. Bei einem exemplarischen 
Ausffihrungsbeispiel ist die Identifizierung vorzugsweise als 
ein IP-Gruppensenden-Gruppen-ID implementiert. Folglich 
ist der Gruppensenden-Gruppen-ID A vorzugsweise eine 
28-Bit-Gruppensenden-Identifizierung, und die Server 
201A-202T weisen so eine Host-Gruppe 215 auf. Andere 
Server konnen der Host-Gruppe 215 hinzugeffigt werden, 
die aus Webservern 201A-202T bestcht, und die Server, die 
in der Host-Gruppe 215 umfaBt sind, konnen aus derselben 
durch hinreichend bekannte Mechanismen wie IGMP-Be- 
richte (TGMP = Internet group management protocol = In- 
ternetgruppenverwaltungsprotokoll) entfernt werden. An- 
dere Gruppensenden-Mechanismen, wie UDP-Gruppensen- 
den-Mechanismen (UDP = user datagram protocol = Benut- 
zerdatagrammprotokoll) konnen an deren Stelle eingcselzt 
werden. Um das Gruppensenden fiber separate Netze 
200A-200N zu realisieren, sind die Router 160A-106M 
vorzugsweise gruppensendefahig, so daB die Gruppensen- 
den-Nachrichten Adressen aufweisen konnen, die liber den 
verschiedenen Netzen 200A-200N, die Hosts aufweisen, 
die den gemeinsamen Gruppensenden-Gruppen angehdren, 
aufgelost werden konnen. 

[0044] In ahnlicher Weise konnen die FTP-Server 
203A-204U logisch zugeordnet sein und eine FTP-Host- 
gruppe 216 aufweisen und eine Gruppensenden-Gruppen- 
ED B aufweisen, der denselben durch den Verwaltungskno- 
ten 85 zugeordnet wird. Desgleichen konnen die Dateiserver 
205A-206V eine Gruppensenden-Gruppen-ID C, die den- 
selben zugeordnet ist, aufweisen und eine Dateiserver-Host- 
gruppe 217 aufweisen, die Datcnbankscrvcr 207A-207W 
konnen einen Gruppensenden-Gruppen-ID D, der denselben 
zugeordnet ist, aufweisen und eine Datenbankserver-Rost- 
gruppe 218 aufweisen, und die Mailscrvcr210A-211X kon- 
nen einen Gruppensenden-Gruppen-ID Z, der denselben zu- 
geordnet ist, aufweisen und eine Mailserver-Hostgruppe 
219 aufweisen. 

[0045] Folglich kann der Verwaltungsknoten 85 Befchls- 
und Sicherheitsaktualisierungen an die Server von einer 
oder mehreren Rostgruppen fiber eine Gruppensendung syn- 
chronisieren. Das erforderliche Betriebsmittel und die 
Bandbreite des Verwaltungsknotens 85 wird so reduziert. 
Vorzugsweise werden die Befehls- und Sicherheitsaktuali- 
sierungen, die fiber eine Gruppensenden-Nachricht geliefert 
werden, zwischen dem Verwaltungsknoten 85 und der 
adressierten Gruppensenden-Gruppe verschliisselt. So kann 
die Datenintegritat durch Validieren der Netzrahmenan- 
fangsblocke gegenfiber einem Integritatsalgorithmus, der an 
jedem Knoten ausgefuhrt wird, der in einer Hostgruppc um- 
faBt ist, beibehalten werden. Die Kommunikationsauthenti- 
fizierung kann durch Einrichtung und Authentifizieren einer 
Sitzung ausgefuhrt werden, die zum Ausfuhren der Aktuali- 
sierungen vcrwendct wird. Die Sicherheitsaktualisierungen, 
die durch einen Knoten des Netzes 200 gemaB der vorste- 
hend bescliriebenen Verteilungstechnik empfangen werden, 
konnen dann in der Datenbank 277 gespeichert und einer 
beispielhaften assoziativen ProzeBmaschine zugefuhrt wer- 
den, die zum Filtern von Netzpaketen und/oder Rahmen 
durch die mitanhangige Anmeldung mit dem Titel "Method, 
Node and Computer Readable Medium for Identifying Data 
in an Network Exploit" beschrieben und hiermit gleichzeitig 
eingereicht wird. 

[0046] Es wird darauf hingewiesen, daB die Miteinbezie- 
hung eines Knotens in eine Hostgruppe 215-219 nicht die 
Einbeziehung des Knotens innerhalb einer anderen Host- 
gruppe ausschlieBt, sondern vielmehr kann ein gegebener 
Knoten innerhalb mehrerer Hostgruppen 215-219 umfaBt 
sein. Zusatzlich konnen die netzbasierten IPS-Vorrichtun- 
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gen 180-182 innerhalb einer Oder mehrerer Hostgruppen 
215-219 umfaBt sein. 

Patentanspruche 

s 

1. Netz (200) mit einem Einbruchschutzsystem, das 
folgende Merkmale aufweist: 

ein Netzmedium (200B); 

einen Verwaltungsknoten (85), der mit dem Nelzme- 
dium (200B) verbunden ist und eine Einbruchpraventi- 10 
onssystem-Verwaltungsanwendung (279) betreibt; und 
eine Mehrzahl von Knolen (215-219), die mit dem 
Netzmedium (200B) verbunden ist und ein Exemplar 
einer Einbruchschutzsystem-Anwendung (91) betrei- 
ben, wobei zumindest einer der Knoten eine Identifi- IS 
zierung aufweist, die demselben zugeordnet ist, basie- 
rend auf einer logiscben Zuordnung, die einen oder 
mehrere der Mehrzahl von Knoten (215-219) grup- 
piert, wobei alle Knoten, die eine Identifizierung ge- 
meinsam verwenden, gemeinsam fiir zumindest eine 20 
Netzausbeutung anfallig sind. 

2. Netz (200) gemaB Anspruch 1, bei dem der Verwal- 
tungsknoten (85) betreibbar ist, urn eine Sicherheitsak- 
tualisierung zu verursachen, die an jeden Knoten iiber- 
tragen wird, der die Identifizierung gemeinsam ver- 25 
wendet, wobei beliebige verbleibende Knoten, die die 
Identifizierung nicht gemeinsam verwenden, von ei- 
nem Empfangen der Aktualisierung ausgeschlossen 
sind. 

3. Nelz (200) gemaB Anspruch 1 oder 2, bei dem eine 30 
Melirzahl von Identifizierungen jeweils einem oder 
mehreren der Melirzahl von Knoten (215-219) zuge- 
ordnet ist. 

4. Netz (200) gemaB einem der Anspriiche 1 bis 3, das 
ferner folgende Merkmale aufweist: 35 
eine Mehrzahl von Netzmedien (200A-200N); und 
zumindest einen Router (160A-160M), wobei jeder 
des Vcrwaltungsknotens (85) und der Melirzahl von 
Knoten (215-219) jeweils einem der Mehrzahl von 
Netzmedien (200A-200N) im Netz (200) zugeordnet 40 
ist, wobei der Router (160A-160M) zwischen der 
Melirzahl von Netzmedien (200A-200N) angeordnet 

ist und betreibbar ist, urn die Sicherheitsaktualisierung 
von dem Netzmedium (200B), mit dem der Verwal- 
tungsknoten (85) verbunden ist, an alle Knoten weiter- 45 
zuleiten, die mit den verbleibenden Netzmedien (200A, 
200C-200N) verbunden sind und die Identifizierung 
gemeinsam verwenden. 

5. Netz (200) gemaB Anspruch 4, bei dem der Router 
(160A-160M) bestimmt, ob ein beliebiger der Melir- 50 
zahl von Knoten (215-219), die mit den verbleibenden 
Netzmedien verbunden sind, die Identifizierung durch 
die Implementierung des Internct-Gruppenverwal- 
tungsprotokolls gemeinsam verwendet. 

6. Verfahren zum Ubertragen einer Aktualisiemngs- 55 
nachricht an einen Teilsatz von Knoten (215-219) ei- 
ner Melirzahl von Netzknoten, wobei das Verfahren 
folgende Schritte aufweist: 

Erzeugen der Aktualisierungsnachricht durch einen 
Verwaltungsknoten (85) des Netzes (200); 60 
Adressieren der Aktualisierungsnachricht an eine 
Netzadresse, die durch den Teilsatz von Knoten 
(215-219) des Nelzes (200) gemeinsam verwendet 
wird; 

Ubertragen der Aktualisierungsnachricht; und 65 
Empfangen und Verarbeiten der Aktualisierungsnach- 
richt durch den Teilsatz von Knoten (215-219). 

7. Verfahren gemaB Anspruch 6, bei dem ein Adressie- 
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ren der Aktualisierungsnachricht an eine Netzadresse, 
die durch den Teilsatz von Knoten (215-219) gemein- 
sam verwendet wird, ferner ein Adressieren der Aktua- 
lisierungsnachricht an eine Internetprotokoll-Gruppen- 
senden-Gruppenidentifizierung aufweist, wobei der 
Teilsatz von Knoten (215-219) einer Hostgruppe ange- 
hort, die der Gruppensenden-Gruppenidentifizierung 
zugeordnet ist. 

8. Verfahren gemaB Anspruch 6 oder 7, bei dem das 
Ubertragen der Aktualisierungsnachricht durch das 
Netz (200) ferner folgende Schritte aufweist: 
Ubertragen der Aktualisierungsnachricht auf einem 
Netzmedium (200B), auf dem der Verwaltungsknoten 
(85) verbunden ist; 

Empfangen der Aktualisierungsnachricht durch einen 
Router (160A-160M), der das Netzmedium (200B), 
auf dem der Verwaltungsknoten (85) verbunden ist, ab- 
schlieBt; und 

Weiterleiten, durch den Router (160A, 160C), der Ak- 
tualisierungsnachricht an alle Knoten, die in dem Teil- 
satz von Knoten (215-219) auf einem zweiten Netzme- 
dium (200A, 200C-200N), das durch den Router 
(160A-160M) geschlossen ist, umfaBt sind. 

9. Verfahren gemaB einem der Anspriiche 6 bis 8, bei 
dem das Ubertragen der Aktualisierungsnachricht an 
einen Teilsatz von Knoten (215-219) ferner ein Uber- 
tragen der Aktualisierungsnachricht an entweder zu- 
mindest einen Einbruchschutzsystemknoten oder eine 
netzbasierte Einbruchschutzsystemvorrichtung 
(180-182) aufweist. 

10. Computerlesbarcs Medium, auf dem cin Satz von 
Instruktionen gespeichert ist, die ausgefiihrt werden 
sollen, wobei der Satz von Instruktionen, wenn diesel- 
ben durch einen Prozessor (272) ausgefuhrt werden, 
bewirkt, daB der Prozessor (272) ein Computerverfah- 
ren ausfiihrt, das folgende Schritte aufweist: 
Erzeugen, durch den Computer, einer Nachricht, die an 
einen Teilsatz von Knoten (215-219) auf einem Netz 
(200) adressiert ist; 

Ubertragen der Nachricht auf einem Netzmedium 
(200B) des Netzes (200) an den Teilsatz von Knoten 
(215-219); Empfangen der Nachricht durch einen Rou- 
ter (160A-160M), der das Netzmedium abschlieBt; und 
Weiterleiten, durch den Router, der Nachricht an alle 
Knolen, die in dem Teilsatz von Knoten (215-219) auf 
einem zweiten Netzmedium (200A, 200C-200M) um- 
faBt sind, das durch den Router (160A-160M) abge- 
schlossen ist. 
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